Für Trojaner führen viele Wege nach Rom

Jan Hichert,

Neue Technologien wie Cloud oder Mobile Computing bringen immer auch neue IT-Sicherheitsrisiken mit sich. Inzwischen kursieren zum Beispiel spezielle, auf Smartphones ausgelegte Würmer, und auch das sogenannte Jailbreaking, mit dem sich der Nutzer Root-Zugriff verschafft, macht Mobiltelefone verwundbar. Web-2.0-Anwendungen, die zunehmend auch im geschäftlichen Alltag genutzt werden, sind anfällig gegen neue Angriffsmethoden wie XSS oder SQL-Injection.

Hinzu kommt, dass auf der Schattenseite des Internets eine bis vor kurzem nahezu unbemerkte Evolution stattgefunden hat: Nach den Hackern der ersten Stunde, die sich von einer Art Abenteuersinn leiten ließen, und den gewinnorientierten Botnet-Betreibern der zweiten Generation sehen wir nun die ersten Blüten politisch motivierten Hackens. Mehr als eine Regierung wird verdächtigt, spezielle Behörden für Cyber-Spionage und -Sabotage eingerichtet zu haben. Und manche Hacker verstehen sich selbst als Cyber-Söldner, die ihre Fähigkeiten meistbietend verkaufen, oder folgen mit ihren Taten ihrer eigenen politischen Überzeugung.

Unternehmen stehen also ganz neuen Bedrohungen gegenüber. Allerdings verfügt nur eine Minderheit über ein ganzheitliches Sicherheitskonzept, das auch noch Lücken aufweist und von Mitarbeitern kaum umgesetzt wird – das belegt die IDC-Studie “IT Security in Deutschland 2010” (PDF). Ohne breit aufgestellte Schutzmaßnahmen wird es jedoch schnell brenzlig – Wie gut ist Ihr allgemeines Sicherheitslevel, wenn Sie den Haupteingang durch Stahltüren und Zahlenschlösser schützen, aber Ihre Fenster Tag und Nacht geöffnet sind? Die Sicherheit eines Unternehmens ist immer nur so stark wie ihr schwächstes Glied.

Wenn man sich die Sicherheit eines Unternehmens als eine Mauer vorstellt, dann besteht diese aus sechs Bausteinen, die miteinander verzahnt sind. Damit der Schutzwall stabil ist, darf kein Bereich vernachlässigt werden.

  • Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter zum Thema IT-Sicherheit und geben Sie einfache Richtlinien zur Internetnutzung vor. Ein gutes Beispiel ist die Nutzung von USB-Sticks: Meist per Richtlinie verboten, aber aufgrund mangelnder Kontrollmöglichkeiten toleriert. Dringend nötig ist in so einem Fall die technische Unterstützung einer solchen Verbots-Policy!
  • Endpoints: Schützen Sie alle Computer (Notebooks, Tablets und Smartphones) gegen Verlust und Infektion. Kommt ein Endgerät abhanden, ist es aufgrund des geringen Materialwerts schnell ersetzt, aber die darauf gespeicherten Daten sind von unschätzbarem Wert.
  • Datenverkehr: Analysieren Sie den Traffic in Ihrem Netzwerk und filtern und verschlüsseln Sie, wo notwendig. Wissen Sie, welche Anwendungen im Unternehmen laufen, und welche davon Verbindung ins Internet hat? Weiß das ihr Administrator? Ein wichtiger Punkt ist hier die Sicherstellung der Mitarbeiterproduktivität, ein anderer, den Abfluss von Daten durch absichtliches oder unabsichtliches Fehlverhalten der Mitarbeiter zu verhindern. Wer zum Beispiel auf E-Mail-Verschlüsselung verzichtet, kann genauso gut eine Postkarte an eine Litfaßsäule kleben. Und bei internetbasierten Anwendungen wie Salesforce oder Facebook, das inzwischen ja schon zum Handwerkszeug einer guten Marketingabteilung gehört, ist unbedingt HTTPS zu nutzen.
  • Server: Sichern Sie den Zugriff auf Daten und Dienste auf Ihren Servern. Wichtig ist hier zuerst die physische Sicherheit: Wer darf den Serverraum betreten und Backup-Bänder mitnehmen? Leider sieht man immer noch Serverräume, die eher einem Kabuff gleichen und deren Lüftung aus offener Tür und Ventilator besteht, oder die im Keller untergebracht und über das Marketinglager zu betreten sind. Zweiter wichtiger Punkt ist die Regelung des elektronischen Zugriffs mit Hilfe von Berechtigungen, Authentifizierung und Protokollierung. Und drittens sind eine Backup- und eine Hochverfügbarkeitslösung erforderlich.
  • Prozesse: Definieren Sie klare IT-Prozesse unter Einbeziehung aller Beteiligten und sorgen Sie für deren Einhaltung. Hier geht es vor allem darum, durch Kommunikation ein Bewusstsein für die Wichtigkeit des Themas zu schaffen. Und darum, die Prozesse technisch zu unterstützen. Kontrolle heißt hier aber nicht Misstrauen und Überwachung, sondern proaktive Vorsorge: Es gilt, Prozessbeteiligte vor Fehlern zu schützen und zu entlasten.
  • Management: Verwalten und überwachen Sie alle IT Systeme von zentraler Stelle aus. Dabei ist ein Monitoring-System unabdingbar, das automatisch Alarm schlägt, sobald es Unregelmäßigkeiten feststellt. Aber das Wissen über Sicherheitsprobleme ist nur der erste Schritt – über zuverlässiges Patch Management müssen die Lücken auch geflickt werden.

Anstelle sich auf einen Baustein zu konzentrieren und diesen bis zur Perfektion auszubauen, ist es wichtig, in allen gleichmäßig aktiv zu sein. Außerdem sollte man sich stets bewusst sein, dass Sicherheit kein Zustand, sondern ein fortlaufender Prozess ist, und dementsprechend die Systeme pflegen, zum Beispiel durch Einspielen von aktuellen Updates und Patches. Wer das tut, ist in Sachen IT-Sicherheit dem durchschnittlichen Unternehmen weit voraus.